哪位高手帮我看看扫描日志？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛哪位高手帮我看看扫描日志？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

哪位高手帮我看看扫描日志？

“步”同凡响初生襁褓狮帖子:181 注册: 2005-08-04 来自:	发表于： 2005-08-04 17:40 \| 只看楼主短消息资料字号：小中大 1楼哪位高手帮我看看扫描日志？ HijackThis_zww汉化版扫描日志 V1.99.1 保存于 17:39:08, 日期 2005-8-4 操作系统： Windows XP SP2 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe c:\program files\rising\rfw\rfwsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe C:\Program Files\Apoint2K\Apoint.exe C:\Program Files\TOSHIBA\TouchPad\TPTray.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe C:\WINDOWS\system32\TPSMain.exe c:\program files\rising\rfw\RfwMain.exe C:\WINDOWS\system32\ZoomingHook.exe C:\Program Files\TOSHIBA\Accessibility\FnKeyHook.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\Toshiba\Tvs\TvsTray.exe C:\WINDOWS\system32\conime.exe C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe C:\Program Files\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\system32\TCtrlIOHook.exe C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\WINDOWS\VM_STI.EXE C:\WINDOWS\system32\TPSBattM.exe C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE C:\Program Files\Sandai\ThunderMini\ThunderMini.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe C:\WINDOWS\system32\RAMASST.exe C:\Program Files\Chinanet\VnetClient.exe C:\PROGRAM FILES\RISING\RAV\Ravmond.exe C:\PROGRAM FILES\RISING\RAV\RavStub.exe c:\program files\rising\rav\RAVMON.EXE C:\Program Files\Internet Explorer\iexplore.exe D:\周健\hijackthis1.99\HijackThis1991zww.exe O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v5.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing) O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - 启动项HKLM\\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe O4 - 启动项HKLM\\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - 启动项HKLM\\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe O4 - 启动项HKLM\\Run: [AGRSMMSG] AGRSMMSG.exe O4 - 启动项HKLM\\Run: [NDSTray.exe] NDSTray.exe O4 - 启动项HKLM\\Run: [TPSMain] TPSMain.exe O4 - 启动项HKLM\\Run: [ZoomingHook] ZoomingHook.exe O4 - 启动项HKLM\\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP O4 - 启动项HKLM\\Run: [TOSHIBA Accessibility] C:\Program Files\TOSHIBA\Accessibility\FnKeyHook.exe O4 - 启动项HKLM\\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - 启动项HKLM\\Run: [Tvs] C:\Program Files\Toshiba\Tvs\TvsTray.exe O4 - 启动项HKLM\\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe O4 - 启动项HKLM\\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL O4 - 启动项HKLM\\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe O4 - 启动项HKLM\\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - 启动项HKLM\\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - 启动项HKLM\\Run: [TCtryIOHook] TCtrlIOHook.exe O4 - 启动项HKLM\\Run: [TFncKy] TFncKy.exe O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup O4 - 启动项HKLM\\Run: [advapi32] RUNDLL32 C:\WINDOWS\Downlo~1\_IS_0518\_IS_ISC.DLL,isc O4 - 启动项HKLM\\Run: [thunder_mini] C:\Program Files\Sandai\ThunderMini\ThunderMini.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Common Files\Adobe\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O8 - IE右键菜单中的新增项目: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - IE右键菜单中的新增项目: &使用迅雷下载 - F:\讯雷\geturl.htm O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - F:\讯雷\getAllurl.htm O8 - IE右键菜单中的新增项目: &使用迷你迅雷下载 - C:\Program Files\Sandai\ThunderMini\geturl.htm O8 - IE右键菜单中的新增项目: 反向链接 - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - IE右键菜单中的新增项目: 类似网页 - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html O8 - IE右键菜单中的新增项目: 缓存的网页快照 - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html O9 - 浏览器额外的按钮: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - 浏览器额外的“工具”菜单项: Sun Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - 浏览器额外的按钮: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://vod.58028.net/plugin/PowerPlr.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122099670343 O17 - HKLM\System\CCS\Services\Tcpip\..\{BDA1E400-D507-45EB-AA80-B775A722C77F}: NameServer = 221.228.255.1 218.2.135.1 O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - NT 服务: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - NT 服务: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe 2005-08-04 21:50:12
“步”同凡响初生襁褓狮帖子:181 注册: 2005-08-04 来自:	分享到：

jijip 初生襁褓狮帖子:972 注册: 2005-06-16 来自:	发表于： 2005-08-04 18:17 \| 短消息资料字号：小中大 2楼抵制日货~~！！！
jijip 初生襁褓狮帖子:972 注册: 2005-06-16 来自:

“步”同凡响初生襁褓狮帖子:181 注册: 2005-08-04 来自:	发表于： 2005-08-04 21:00 \| 只看楼主短消息资料字号：小中大 3楼晕
“步”同凡响初生襁褓狮帖子:181 注册: 2005-08-04 来自:

费德勒·加内特· 初生襁褓狮帖子:335 注册: 2004-07-31 来自:	发表于： 2005-08-04 21:28 \| 短消息资料字号：小中大 4楼楼主中木马了，是 advapi32 方法清除ADVAPI32.EXE和AVICAP32.EXE木马第一种方法： 1。重启进入安全模式（启动时按F8） 2。删除下列文件 1) windows\backup\. 2) windows\prefetch\advapi32. avicap32. 3) window\system32\MyIMLite\.(如果有的话,似乎这就是源头) 4) windows\downloaded program files\0319\. 这个目录在windows下搜索不到，也看不到（开了显示隐藏），可采用以下方法搞定：首先点开始 /运行/ 键入cmd /确定接下来 cd d:回车接下来 del c:\advapi32.exe/s/a 回车接下来 del c:\avicap32.exe/s/a 回车接下来 del c:\MuSearch.dll/s/a 回车 3。删除注册表中与advapi32.exe avicap32.exe MuSearch.dll 相关的键值,步骤如下：首先点开始 /运行/ 键入regedit 确定然后点编辑 /查找/ 分别键入advapi32.exe avicap32.exe MuSearch.dll 进行查找，找到后全部清除掉。（不妨从头到底多查几遍，一定要弄干净喔！！！） 4。清除所有cookies,internet临时文件第二种方法： 1、结束进程advapi32.exe、avicap32.exe、explorer.exe(这里要用到IceSword这个软件,先在IceSword的“监视进/线程创建”面板中找红字标出的explorer.exe，记住其PID，然后回到“进程”面板，按PID找到那个假explorer.exe，结束它。) 2、删除系统当前用户临时文件夹Temp下的backup和%Windows%下的backup文件夹 3、删除病毒对注册表所作的更改： HKEY_CURRENT_USER\Software\advapi32.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
费德勒·加内特· 初生襁褓狮帖子:335 注册: 2004-07-31 来自:

费德勒·加内特· 初生襁褓狮帖子:335 注册: 2004-07-31 来自:	发表于： 2005-08-04 21:30 \| 短消息资料字号：小中大 5楼在开始-运行-x:\windows\downlo~1\（X是系统分区）就能看到病毒安装包，删除全部文件。。在注册表里认真查，删除，OK。。。
费德勒·加内特· 初生襁褓狮帖子:335 注册: 2004-07-31 来自:

费德勒·加内特· 初生襁褓狮帖子:335 注册: 2004-07-31 来自:	发表于： 2005-08-04 21:32 \| 短消息资料字号：小中大 6楼卸载DUDU和百度搜霸＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 1.重启进入安全模式（启动时按F8） 2.删除下列文件 1) windows\backup\. 2) windows\prefetch\advapi32. avicap32. 3) window\system32\MyIMLite\. 4) windows\downloaded program files\0319\. 5) windows\downloaded program files\_IS_ISC.DLL 6) windows\downloaded program files\_IS_0518 这个目录在windows下搜索不到，也看不到（开了显示隐藏），可采用以下方法搞定：开始－－运行,输入cmd，确定 cd d:回车 del c:\advapi32.exe/s/a 回车 del c:\avicap32.exe/s/a 回车 del c:\MuSearch.dll/s/a 回车 5)ADVAPI.DLL2以及ADVCCAPI.DLL 3.删除注册表中与advapi32.exe　avicap32.exe　MuSearch.dll相关的键值　步骤如下：开始－－运行,键入regedit,确定在菜单栏点击编辑－－查找,分别键入advapi32.exe avicap32.exe MuSearch.dll进行查找找到后全部清除掉 4. 开始－－运行, 键入msconfig,确定修改SYSTEM.INI，刪除 "DRIVERS=ADVAPI.DLL" 5.清除所有cookies,internet临时文件 ================================= MYIMLite的危害及其解除方法 1.开始－－运行, 键入msconfig,确定修改启动，禁止UPDATE和MYIMLite启动 2.重启后删除 C:\WINDOWS\system32\MYIMLite 文件夹 3.开始－－运行,键入regedit,确定在菜单栏点击编辑－－查找,键入MYIMLite进行查找找到后全部清除掉 ================================== isc.exe解除方法 1.清空所有的临时文件 2.重启动系统，按F8进入安全模式删除以下5个文件： ISC.dll ISC.exe ISC.ico MuSearch.dll Music.dll ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝删除C:\Program\DESKTOp media C:\WINDOWS\WORLD2\TOOLBAR C:\Program\Baidu
费德勒·加内特· 初生襁褓狮帖子:335 注册: 2004-07-31 来自:

费德勒·加内特· 初生襁褓狮帖子:335 注册: 2004-07-31 来自:	发表于： 2005-08-04 21:33 \| 短消息资料字号：小中大 7楼 rundll32: winnt/download_1~/_is_isc.dll 就是这个东西，搞得系统启动后rundll32和explorer交替不停出错。后来总算删掉。这是在金山上看到的解决方案： 1. 断开网络，关闭所有浏览器窗口，退出/关闭可以退出/关闭的应用程序 2. 结束掉Rundll32.exe进程 3. 结束掉Explorer.exe进程（桌面、任务栏丢失）以上步骤为确定那些_IS_.DLL文件没有被调用，如果对系统熟悉也可不用这样处理 4. 把Explorer.exe进程再运行起来（恢复桌面、任务栏） 5. 删除%Windows%Downloaded Program Files目录下面所有_IS_.文件（使用WinRAR浏览找到文件并删除），删除%Windows%backup目录 6. 双击导入附件中的REG文件，删除那些东西在注册表里留下的信息因为论坛不能上传文件，把reg文件内容写在这里，大家可以自己编辑。 REGEDIT4 [-HKEY_CURRENT_USERSoftwareadvapi32] [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "advapi32"=- [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Object*s{1272F701-349D-4DB3-BBCD-10CBDCD049FE}] [-HKEY_CLASSES_ROOTCLSID{1272F701-349D-4DB3-BBCD-10CBDCD049FE}] [-HKEY_CLASSES_ROOTCLSID{1CC08B2F-AFF1-11D9-9651-0003FF7E92CE}] [-HKEY_CLASSES_ROOTTypeLib{1CC08B21-AFF1-11D9-9651-0003FF7E92CE}] [-HKEY_CLASSES_ROOTTypeLib{7B781699-1FF6-45B6-8AA7-2CB16B587C24}]
费德勒·加内特· 初生襁褓狮帖子:335 注册: 2004-07-31 来自:

yjcyjc 初生襁褓狮帖子:19 注册: 2005-08-04 来自:	发表于： 2005-08-04 21:36 \| 短消息资料字号：小中大 8楼
yjcyjc 初生襁褓狮帖子:19 注册: 2005-08-04 来自:

费德勒·加内特· 初生襁褓狮帖子:335 注册: 2004-07-31 来自:	发表于： 2005-08-04 21:39 \| 短消息资料字号：小中大 9楼楼上的兄弟为什么笑啊
费德勒·加内特· 初生襁褓狮帖子:335 注册: 2004-07-31 来自:

天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆	发表于： 2005-08-04 21:50 \| 短消息资料字号：小中大 10楼东芝的笔记本？那么多不认识的进程。按六楼的方法办
天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT